Dela via

Principobjekt

  • Artikel

Objektet Policy används för att styra åtkomsten till databasen Local Security Authority (LSA) och innehåller information som gäller för hela systemet eller upprättar standardvärden för systemet. Varje system har bara ett Princip-objekt. Det här principobjektet skapas av LSA när systemet startas och program kan inte skapa eller förstöra det.

Informationen som lagras i ett principobjekt innehåller:

  • Systemets standardminneskvot. Om inget annat anges tilldelas varje användare som loggar in på systemet den här minneskvoten. Särskilda minneskvoter kan tilldelas enskilda användare eller medlemmar i grupper eller lokala grupper via ett konto objekt.
  • Systemomfattande säkerhetsgranskningskrav.
  • Namnet och SID för kontodomänen för det här systemet.
  • Information om systemets primära domän. Den här informationen innehåller namnet och SID för den primära domänen, namnet på kontot inom den primära domänen som ska användas för autentiseringsbegäranden, namn och SID-översättningar samt hämtning av namnen på domänkontrollanter i domänen. Dessa namn kan vara inaktuella och bör endast tas som ett tips. Ordningen på den här listan antas vara betydande och kommer att bibehållas. På så sätt kan till exempel förnamnet i listan representera den senast kända primära domänkontrollanten.
  • Information om huruvida LSA innehåller huvudkopian av principinformationen eller en replik. Endast en del av principinformationen replikeras. resten upprättas per system.

Fälten AccountDomain och PrimaryDomain i objektet Policy används för olika syften beroende på typen av system- och förtroenderelationer:

  • I ett system som inte har en primär domän innehåller fältet AccountDomain namnet och SID för systemets lokala kontodomän, vilket är samma som datornamnet. Fältet PrimaryDomain innehåller namnet på den arbetsgrupp som datorn är medlem i. TrustedDomain objekt ignoreras med ett undantag – det kan inte finnas ett TrustedDomain- objekt med samma namn som arbetsgrupp eftersom det visas som om det är datorns primära domän.
  • I ett system som har en primär domän identifierar fältet AccountDomain namnet och SID för den lokala kontodomänen som tidigare. Fältet PrimaryDomain innehåller dock namnet och SID för systemets primära domän. Dessutom bör det finnas ett TrustedDomain- objekt med namnet och SID som identifieras i fältet PrimaryDomain. Den här TrustedDomain--objektet innehåller den konto- och serverinformation som krävs för att upprätta en säker kanal till en domänkontrollant i den primära domänen. Andra TrustedDomain- objekt ignoreras.
  • På domänkontrollanter identifierar fältet AccountDomain systemets lokala kontodomän. Kontonamnet är dock användartilldelat i stället för att vara ett välkänt namn. Eftersom den primära domänen är samma som kontodomänen måste fältet PrimaryDomain innehålla samma värde som fältet AccountDomain. Dessutom förväntas alla TrustedDomain- objekt vara giltiga och representera förtroenderelationer med andra domäner. Om systemet inte litar på några andra domäner bör det inte finnas några TrustedDomain- objekt.